Právní obsah pro konkrétní zemi
Vypracováno s právní expertizou pro každou jurisdikci, výrazně důkladnější než AI návrhy, které kopírují obecná ustanovení napříč státy.
Smlouva o zpracování osobních údajů (Data Processing Agreement, DPA) sestavená podle čl. 28 GDPR a zákona č. 110/2019 Sb. — povinný dokument pro každého správce, který svěřuje zpracování osobních údajů externímu zpracovateli v České republice. Vyplňte údaje správce a zpracovatele, určete předmět zpracování, doplňte režim sub-zpracovatelů a stáhněte si profesionální PDF připravené k podpisu během několika minut.
PDF (free) + editable Word (.docx) with Expert
| Předmět zpracování | Hostování e-shopu Správce na cloudové infrastruktuře Zpracovatele, včetně databáze zákazníků a objednávek |
| Účel zpracování | Poskytování cloudového hostingu a souvisejících služeb (zálohování, monitoring, technická podpora) Správci pro provoz jeho e-shopu |
| Povaha zpracování (operace) | Ukládání, zálohování, kopírování, přenos, technický monitoring, řízení přístupu — bez analýzy obsahu |
| Doba zpracování | Po dobu trvání hlavní smlouvy + 30 dnů pro vrácení/výmaz po jejím ukončení |
| Kategorie osobních údajů | · Identifikační údaje zákazníků e-shopu (jméno, příjmení, IČO/DIČ) · Kontaktní údaje (e-mail, telefon, fakturační/doručovací adresa) · Údaje o objednávkách (čísla objednávek, položky, ceny — bez kompletních platebních údajů) · Logy přístupu (IP adresa, časové razítko) |
| Kategorie subjektů údajů | · Zákazníci Správce (B2C i B2B) · Zaměstnanci Správce (admin přístup) · Návštěvníci webu (anonymizované cookies) |
Available as a print-ready PDF or an editable Microsoft Word (.docx) file.
Smlouva o zpracování osobních údajů (DPA — Data Processing Agreement) je závazná písemná smlouva mezi správcem osobních údajů a zpracovatelem, která vymezuje pravidla zpracování osobních údajů na účet správce. Povinnost takovou smlouvu uzavřít zakotvuje čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) — bez DPA nesmí v České republice ani nikde jinde v EU správce svěřit zpracování osobních údajů externímu zpracovateli. Porušení této povinnosti je sankcionováno Úřadem pro ochranu osobních údajů (ÚOOÚ) — sídlo Pplk. Sochora 27, 170 00 Praha 7 — pokutami až do výše 10 milionů EUR nebo 2 % celosvětového ročního obratu (čl. 83 odst. 4 GDPR).
V praxi se DPA uzavírá v České republice s velkým počtem dodavatelů — externí účetní firma, mzdová a personální agentura, IT poskytovatel, cloud (typicky AWS, Microsoft Azure, Google Cloud, Hetzner), e-mailingová platforma (Mailchimp, SendGrid), CRM (HubSpot, Salesforce), platební brána (Stripe, GoPay, ComGate), provozovatel call centra, kurýrní a logistická služba (Česká pošta, Zásilkovna, PPL), bezpečnostní agentura, správce sociálních sítí, marketingové agentury i právní kanceláře v některých konfiguracích zpracování. Klíčové je, že kdykoli "někdo zpracovává údaje vašich klientů, zaměstnanců nebo uživatelů na váš pokyn", musí být uzavřena DPA.
V České republice je DPA upravena současně dvěma předpisy: přímo aplikovatelným GDPR (čl. 4 odst. 8 definice zpracovatele, čl. 28 obsah smlouvy, čl. 32 bezpečnost zpracování, čl. 33 oznámení porušení) a národním zákonem č. 110/2019 Sb., o zpracování osobních údajů, který implementuje GDPR a stanoví specifika české jurisdikce — zejména postavení ÚOOÚ jako dozorového úřadu. Vzor DPA Doxuno odpovídá všem osmi povinným ujednáním podle čl. 28 odst. 3 písm. a–h GDPR a obsahuje doplňkové standardy pro mezinárodní přenosy (Standardní smluvní doložky 2021/914/EU) a pro vyšší úroveň zabezpečení podle čl. 32 GDPR uplatňovanou českými ÚOOÚ kontrolami.
Vzor DPA Doxuno obsahuje všech osm povinných ujednání čl. 28 odst. 3 GDPR a doplňuje je o Expert ujednání pro náročné dodavatele, mezinárodní přenosy do třetích zemí a velké objemy osobních údajů zpracovávaných v České republice.
Plné údaje obou stran — IČO, sídlo, kontaktní DPO
Povinné prvky podle čl. 28 odst. 3 GDPR
Identifikační, kontaktní, lokalizační, biometrické apod.
Klienti, zaměstnanci, uchazeči, návštěvníci webu
Čl. 28 odst. 3 písm. a) a b) GDPR
Šifrování, pseudonymizace, zálohy, řízení přístupu
Obecný / specifický souhlas dle čl. 28 odst. 2 GDPR
Čl. 15–22 GDPR — přístup, oprava, výmaz, přenositelnost
Čl. 33 GDPR — povinnost informovat správce
Čl. 44–49 GDPR a doložky 2021/914/EU
Čl. 28 odst. 3 písm. h) GDPR — frekvence, postup
Čl. 28 odst. 3 písm. g) GDPR — volba správce
Sestavení DPA vyžaduje pochopení role každé strany ve zpracování osobních údajů. Generátor Doxuno vás provede jednotlivými oddíly v souladu s čl. 28 GDPR a během několika minut vám vystaví profesionální PDF platné v České republice i v celé Evropské unii.
Správce (čl. 4 odst. 7 GDPR) je ten, kdo určuje účely a prostředky zpracování — typicky vy jako provozovatel webu, e-shopu, ordinace nebo zaměstnavatel v České republice. Zpracovatel (čl. 4 odst. 8 GDPR) zpracovává osobní údaje na účet správce a podle jeho pokynů — typicky externí dodavatel (účetní, IT, cloud, marketingová agentura). Pokud druhá strana sama rozhoduje o tom, jaké údaje sbírá a k čemu je používá, nejde o zpracovatele, ale o samostatného správce nebo společné správce (čl. 26 GDPR) — v takovém případě je třeba uzavřít odlišnou smlouvu o společném správcovství, nikoli DPA.
U právnických osob v České republice uveďte úplnou obchodní firmu z obchodního rejstříku, IČO, sídlo a osobu jednatele. U OSVČ doplňte IČO. Pokud je správce nebo zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů (DPO) podle čl. 37 GDPR — typicky orgány veřejné moci, organizace zpracovávající velké objemy citlivých údajů (zdravotnická zařízení, banky), nebo systematicky monitorující velké počty subjektů — uveďte jeho jméno a kontaktní e-mail. ÚOOÚ v ČR vyžaduje, aby DPO byl skutečně dosažitelný subjektům údajů.
Čl. 28 odst. 3 první věta GDPR vyžaduje, aby DPA obsahovala čtyři klíčové prvky: (1) předmět zpracování — co konkrétně zpracovatel provádí (např. "vedení účetnictví správce", "rozesílání marketingových e-mailů", "hostování webových stránek"), (2) povahu — jaké operace (sběr, ukládání, mazání, analýza), (3) účel — proč se zpracovává (plnění smlouvy, marketing, plnění právní povinnosti) a (4) dobu — jak dlouho zpracování trvá (po dobu trvání hlavní smlouvy a jeden měsíc po ukončení pro účely vrácení/výmazu). Tyto údaje jsou klíčové pro audit ÚOOÚ v České republice.
Čl. 28 odst. 2 GDPR vyžaduje souhlas správce s každým sub-zpracovatelem (např. cloud, e-mailingový provider, kurýrní služba) — souhlas může být obecný (zpracovatel oznamuje změny předem se 30denní lhůtou) nebo specifický (každý sub-zpracovatel vyžaduje samostatný souhlas). Sub-zpracovatel musí mít stejné povinnosti jako zpracovatel (back-to-back DPA). Doplňte rovněž režim auditu podle čl. 28 odst. 3 písm. h) GDPR — frekvence (zpravidla jednou ročně), oznamovací lhůta (typicky 14 dnů předem), nákladový režim (správce hradí). V České republice ÚOOÚ klade na audit zvláštní důraz u cloudových služeb provozovaných mimo EU/EHP.
Pokud zpracovatel nebo některý sub-zpracovatel zpracovává údaje mimo Evropský hospodářský prostor (USA, UK po Brexitu, Indie, Filipíny apod.), uplatní se čl. 44–49 GDPR. V současnosti (po rozsudku Schrems II ze SDEU) je nejčastějším nástrojem Standardní smluvní doložka 2021/914/EU (SCCs) doplněná tzv. Transfer Impact Assessment (TIA). Doxuno vzor obsahuje odkaz na SCCs a doplňuje povinná dodatečná opatření (technická a organizační — typicky šifrování v klidu i v přenosu). Po vyplnění získáte profesionální PDF připravené k podpisu oběma smluvními stranami; pro zvýšení důkazní síly lze podpisy v ČR ověřit u notáře nebo Czech POINT, případně použít kvalifikovaný elektronický podpis dle nařízení eIDAS.
Čtyři věci, díky kterým jsou naše šablony důkladnější než návrhy generované AI a aktuálnější než statické knihovny šablon.
Vypracováno s právní expertizou pro každou jurisdikci, výrazně důkladnější než AI návrhy, které kopírují obecná ustanovení napříč státy.
Šablony s odkazy na předpisy jsou průběžně aktualizovány při změnách zákonů. Váš dokument vždy odráží aktuální právní rámec.
Stažení zdarma. Vektorový text, vložené fonty a zákonné citace přímo v klauzulích. Vytiskněte, podepište, založte. Připraveno pro jakýkoli způsob podpisu včetně elektronického.
Po stažení pokračujte v úpravách ve Wordu. Přidejte vlastní ustanovení, použijte šablonu pro podobné smlouvy nebo ji sdílejte s kolegou ke společné revizi.
Vyžaduje jednorázové odemknutí Expert nebo libovolné placené předplatné Doxuno.
Každá šablona vzniká nativně pro svou zemi, vychází z předpisů, které skutečně platí, a kontroluje ji oprávněný místní právník; při každé změně zákona zůstává aktuální.
DPA je dokument, kde jakákoli mezera nebo nepřesnost může vést k vysokým pokutám od ÚOOÚ a k občanskoprávní odpovědnosti vůči subjektům údajů (čl. 82 GDPR). Před podpisem zvažte následující aspekty českého a evropského práva ochrany osobních údajů.
Tento vzor je poskytován pouze pro informační účely a nepředstavuje právní poradenství. U mezinárodních přenosů, u zpracování zvláštních kategorií osobních údajů (čl. 9 GDPR — zdravotní stav, biometrie, politické názory), u zpracování ve velkém měřítku nebo v případě pochybností o aplikaci GDPR na váš případ se obraťte na advokáta zapsaného v České advokátní komoře specializovaného na ochranu osobních údajů, nebo na pověřence pro ochranu osobních údajů (DPO).
Posouzeno právními profesionály. Obsah této stránky a ujednání vzoru DPA byly posouzeny v souladu s GDPR a zákonem č. 110/2019 Sb. České republiky, což zajišťuje právní jistotu pro běžné vztahy správce-zpracovatel v ČR a v rámci EU.
Článek 28 odst. 3 GDPR taxativně vyjmenovává osm ujednání, která musí být v každé DPA uvedena: (a) zpracování pouze na základě doložených pokynů správce, (b) povinnost mlčenlivosti osob oprávněných ke zpracování, (c) přijetí všech opatření podle čl. 32 GDPR (bezpečnost), (d) podmínky pro zapojení sub-zpracovatele dle odst. 2 a 4, (e) pomoc správci při plnění práv subjektů údajů (čl. 15–22), (f) pomoc při plnění povinností podle čl. 32–36 (bezpečnost, oznámení porušení, DPIA, předchozí konzultace), (g) výmaz nebo vrácení údajů po skončení zpracování dle volby správce, (h) zpřístupnění informací nezbytných k auditu a podrobení se auditu. Vynechání byť jediného ujednání může v České republice vést k pokutě od ÚOOÚ podle čl. 83 odst. 4 GDPR (až 10 mil. EUR nebo 2 % celosvětového obratu).
Pokud zpracovatel zapojuje sub-zpracovatele (např. cloud, který běží pod hlavním softwarem zpracovatele), platí v České republice i v EU dvě klíčová pravidla čl. 28 odst. 4 GDPR. Za prvé, sub-zpracovatel musí mít stejné povinnosti jako zpracovatel — back-to-back DPA. Za druhé, zpracovatel zůstává vůči správci plně odpovědný za jednání sub-zpracovatele včetně případných porušení GDPR. Praktický důsledek: pokud správce zjistí únik údajů u sub-zpracovatele cloudu (např. AWS), žaluje primárně svého zpracovatele a tento se pak může regresně domáhat náhrady škody u sub-zpracovatele. ÚOOÚ v ČR pravidelně kontroluje řetězce sub-zpracovatelů, zejména u cloudových služeb provozovaných mimo EU/EHP, kde se kombinuje povinnost čl. 28 GDPR s povinností čl. 44 GDPR pro mezinárodní přenosy.
Čl. 33 GDPR ukládá zpracovateli povinnost oznámit správci porušení zabezpečení osobních údajů "bez zbytečného odkladu". V praxi se v České republice DPA zpravidla sjednává konkrétní lhůta — typicky 24 nebo 48 hodin od zjištění incidentu — aby správce stihl splnit svou vlastní 72hodinovou lhůtu pro oznámení Úřadu pro ochranu osobních údajů (ÚOOÚ). Oznámení musí obsahovat povahu porušení, kategorie a počet dotčených subjektů údajů, kontaktní údaje DPO, pravděpodobné důsledky a přijatá opatření (čl. 33 odst. 3 GDPR). Pokud porušení pravděpodobně způsobí vysoké riziko pro práva subjektů, musí být subjekty informovány bez zbytečného odkladu (čl. 34 GDPR). ÚOOÚ v ČR provozuje online formulář pro oznámení porušení a v posledních letech přísně sleduje dodržování 72hodinové lhůty.
Po rozsudku SDEU C-311/18 (Schrems II z července 2020) je přenos osobních údajů z České republiky do USA (a dalších třetích zemí bez rozhodnutí o odpovídající úrovni ochrany) možný pouze za splnění tří podmínek: (1) uzavření Standardních smluvních doložek 2021/914/EU (SCCs) ve znění platném od září 2021, (2) provedení Transfer Impact Assessment (TIA) — analýzy, zda právní řád přijímající země poskytuje úroveň ochrany v zásadě rovnocennou EU, a (3) přijetí dodatečných opatření tam, kde TIA odhalí mezery (typicky šifrování v klidu i v přenosu, pseudonymizace, kontrola přístupových protokolů). U přenosů do USA může být nově využito Data Privacy Framework (DPF) — rozhodnutí Komise 2023/1795 — pokud je americký příjemce certifikován u amerického ministerstva obchodu. ÚOOÚ v ČR kontroluje mezinárodní přenosy zejména u cloudových řešení a marketingových platforem.
Vyplňte údaje během několika minut a získejte profesionální DPA v souladu s GDPR a zákonem č. 110/2019 Sb. Zdarma, bez nutnosti zakládat účet pro základní verzi.
Free PDF · Editable Word with Expert · No account required